![]()
Давненько я не заходил на https://bugbounty.standoff365.com/
Решил наведаться к VKшечке и занести очередную говенную XSSску, чтобы успокоиться еще на месяц.
Интересный факт: ровно за месяц посоны настрочили 149 репортов.
С одной стороны - орлы, движуха мутится, репорты крутятся.
С другой - получается 5 репортов за день, что для какого-нибудь опытного аналитика обработать вполне возможно в одиночку за пару часов и потом, проводить весь рабочий день на дваче пикабу.
По сути, в рамках одной программы(VK) скоуп обширный, но... Можно сказать, что на данном этапе это единственный крупный игрок в отечественном багбаунти, который разметил себя на площадках-агрегаторах.
Делаю вывод, что пока что отечественный бизнес и госсектор неохотно идут в багбаунти. Кто-то держит свои standalone программы(Яндекс), либо заказывают комплексные проверки у всяких там пентест-фирм.
Причины с дивана видятся следующие:
1. Да, у нас утечки, и нам похуй, заплатим 50k в казну(всякие ебучие DNSы тому пример)
2. Авось найдут еще чего, и начнут свои врайтапы писать, позорить перед лицом уважаемых партнеров! Ишь че удумали, неча сор из избы выносить! Не положено!
Надеюсь дожить до того дня, когда регуляторы начнут ебать не на пол шишечки, а засаживать уже наконец-то многомиллионые штрафы. И чтобы всякие челы, имеющие доступ к персональной информации, присаживались на бутылку товарища майора, а не выкладывали все добро где-нибудь в нижнем интернете за крипту, прекрасно осознавая, что даже в случае если их поймают за руку - они отделаются легким испугом.
Такие дела.
#bb
